Tratando Relatórios de Vulnerabilidade Incompletos em Cibersegurança
Um estudo sobre como melhorar a gestão de vulnerabilidades mesmo com relatórios incompletos.
― 6 min ler
Índice
A cibersegurança é super importante pra proteger os sistemas de informação. Uma parte chave disso é gerenciar as Vulnerabilidades, que são fraquezas que podem ser exploradas em software ou hardware. O Banco Nacional de Divulgação de Vulnerabilidades (NVD) é um recurso essencial que coleta e compartilha informações sobre essas vulnerabilidades. Mas, às vezes, os relatórios sobre vulnerabilidades vêm incompletos quando são publicados pela primeira vez. Isso pode dificultar a reação rápida e eficaz dos profissionais de segurança.
Esse artigo discute um estudo que analisa com que frequência e por que esses relatórios incompletos acontecem. Também apresenta um novo sistema de tickets feito pra ajudar a gerenciar vulnerabilidades mesmo quando as informações estão faltando.
Visão Geral das Vulnerabilidades
Uma vulnerabilidade geralmente é definida como uma fraqueza em software ou hardware que pode ser explorada, causando efeitos negativos como perda de privacidade dos dados ou falha de um sistema. O NVD acompanha as vulnerabilidades e atribui a cada uma um identificador único, conhecido como Enumeração Comum de Vulnerabilidades (CVE). Uma entrada de CVE geralmente inclui uma descrição da vulnerabilidade, uma pontuação de gravidade, sugestões pra consertar o problema e uma lista de produtos afetados.
Infelizmente, muitas entradas de CVE são publicadas sem informações completas. Isso pode incluir pontuações de gravidade faltando - que são importantes pra avaliar quão séria é a vulnerabilidade - ou listas de produtos faltando, que ajudam as organizações a saber se estão em risco.
Importância da Informação Completa
Quando um relatório de CVE está sem informações chave, isso pode criar desafios significativos. Por exemplo, sem uma pontuação de gravidade, as equipes de segurança têm dificuldade em priorizar quais vulnerabilidades precisam de atenção imediata. Se a lista de produtos afetados estiver faltando, as equipes podem não saber se os sistemas deles estão em risco.
Essas lacunas forçam as organizações a tomarem decisões difíceis sobre se expor a potenciais ataques ou parar de usar certos softwares. Portanto, ter informações completas nesses relatórios é fundamental pra uma gestão eficaz de vulnerabilidades.
Abordagem do Estudo
Pra entender com que frequência as vulnerabilidades são relatadas com informações incompletas e quão rápido elas são atualizadas, coletamos dados do NVD durante um período de três meses. Durante esse tempo, milhares de relatórios foram publicados, e nós acompanhamos que porcentagem deles estavam incompletos.
Coleta de Dados
Fizemos downloads diários dos conjuntos de dados de vulnerabilidades pra ter as informações mais precisas. Isso permitiu que analisássemos os relatórios de vulnerabilidades publicados nesse período e identificássemos aqueles que começaram com informações incompletas.
Principais Descobertas do Estudo
Frequência de Relatórios Incompletos
Nossa análise mostrou que uma quantidade significativa de relatórios de vulnerabilidades é inicialmente publicada sem informações completas. Especificamente, descobrimos que cerca de 28% dos relatórios não tinham uma pontuação de gravidade, e cerca de 52% não incluíam uma lista de produtos. Além disso, um número pequeno de relatórios (2%) não continha sugestões pra corrigir o problema.
Tempo pra Atualizar
Nos casos em que o relatório inicial estava sem uma pontuação de gravidade, o tempo médio até que uma pontuação fosse adicionada foi de cerca de 11 dias. Para as entradas que faltavam listas de produtos, levou cerca de 11,5 dias pra receber atualizações. Esse atraso pode criar riscos pras organizações, já que elas podem não saber por mais de uma semana se estão expostas a uma vulnerabilidade.
Sem Sugestão de Correções
Descobrir que cerca de 2% das vulnerabilidades não têm uma solução ou atualização proposta é preocupante. Quando nenhuma solução é fornecida, as equipes de segurança ficam sem orientação sobre como agir, aumentando o risco pros sistemas que gerenciam.
Proposta de Sistema de Tickets
Dada a ocorrência comum de relatórios incompletos, propomos um novo sistema de tickets. Esse sistema ajuda os profissionais de segurança a gerenciar vulnerabilidades mesmo quando as informações estão faltando.
Função do Sistema de Tickets
O sistema de tickets permite que as organizações criem tickets para vulnerabilidades com base em relatórios existentes. Isso significa que elas podem começar a abordar vulnerabilidades, mesmo se alguns detalhes estiverem faltando. O sistema também ajuda a agrupar vulnerabilidades relacionadas, facilitando a gestão e acompanhamento delas.
Importância da Automação
Ao automatizar partes do processo de gestão de vulnerabilidades através desse sistema de tickets, as organizações podem responder mais rapidamente a ameaças potenciais. O sistema usa dados existentes pra criar tickets, ajudando a priorizar as vulnerabilidades que precisam de atenção.
Implementação do Estudo de Caso
Pra testar a eficácia do sistema de tickets proposto, implementamos ele dentro de uma grande empresa. Acompanhamos as vulnerabilidades nos ativos de software da empresa e avaliamos o número de tickets gerados pra lidar com elas.
Resultados da Implementação
Os resultados revelaram que o sistema identificou e gerenciou eficazmente as vulnerabilidades, mesmo quando informações chave estavam faltando. Em média, cerca de 39 grupos de ativos foram destacados por terem vulnerabilidades a cada dia, e múltiplos tickets foram gerados para vulnerabilidades dentro do mesmo software.
No entanto, alguns falsos positivos ocorreram, onde tickets foram criados para vulnerabilidades que não se aplicavam aos ativos da empresa. Apesar disso, os resultados gerais indicaram que os benefícios do sistema de tickets superaram as desvantagens.
Conclusão
O estudo destaca quão comuns são os relatórios de vulnerabilidades incompletos e os desafios que eles representam pros profissionais de segurança. O sistema de tickets proposto oferece uma solução pra gerenciar essas vulnerabilidades mesmo quando as informações estão faltando. À medida que as ameaças cibernéticas continuam a crescer, sistemas assim serão essenciais pra ajudar as organizações a se manterem seguras.
Pesquisas futuras podem construir sobre esse estudo fundamental pra refinar e melhorar o sistema de tickets e suas funcionalidades, ajudando as organizações à medida que navegam pelo cenário em constante mudança da cibersegurança.
Focando em criar processos eficientes e automatizando as tarefas de gestão de vulnerabilidades, as organizações podem proteger melhor seus sistemas e responder às vulnerabilidades de forma oportuna. Com essa abordagem, as chances de serem afetadas por vulnerabilidades não tratadas podem diminuir significativamente.
Título: Half-Day Vulnerabilities: A study of the First Days of CVE Entries
Resumo: The National Vulnerability Disclosure Database is an invaluable source of information for security professionals and researchers. However, in some cases, a vulnerability report is initially published with incomplete information, a situation that complicates incident response and mitigation. In this paper, we perform an empirical study of vulnerabilities that are initially submitted with an incomplete report, and present key findings related to their frequency, nature, and the time needed to update them. We further present a novel ticketing process that is tailored to addressing the problems related to such vulnerabilities and demonstrate the use of this system with a real-life use case.
Autores: Kobra Khanmohammadi, Raphael Khoury
Última atualização: 2023-03-14 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2303.07990
Fonte PDF: https://arxiv.org/pdf/2303.07990
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.